Hallo!

Meine Freundin bekam vorgestern eine mail von einem spanischen Freund mit Anhang...ich fragte sie noch ob die mail auch wirklich von Alberto sei...sie "ja" ich scannte die Datei, kein virus gefunden, klick auf ausführen und patsch! meldet AntiVir eine Infektion. Sie dachte ich meinte die mail an sich, dabei meinte ich natürlich den text...der war nicht von Alberto...

Seitdem logge ich mich sicherheitshalber mit meinem PC nirgends mehr ein. Bei jedem Systemstart meldet mir AntiVir es hätte zwei Dateien gefunden, die mit dem Virus "TR.Spy.Banker.Gen" infiziert seien.

Zum einen handelt es sich um diese Datei:

In der Datei 'C:\WINDOWS\system32\updater.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [TR/Spy.Banker.Gen] gefunden.
Ausgeführte Aktion: Datei löschen

und zum anderen um diese:

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XF1EJ1BK\eu_72[1].jpg'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [TR/Spy.Banker.Gen] gefunden.
Ausgeführte Aktion: Datei löschen

Habe den PC schonmal im abgesicherten modus hochgefahren und zumindest den Temorary Internet Files Ordner gelöscht.
Die Datei updater.dll habe ich erst gar nicht gefunden, obwohl bei mir generell alle Dateien angezeigt werden.

Das HJT logfile habe ich angehängt.

Die Lust auf eine Neuinstallation geht natürlich gegen -7. Mein PC verhält sich bis jetzt auch nicht komisch, bis auf die beiden nicht existenten aber dennoch befallenen Dateien.
Falls jedoch Plattmachen die einzige chance ist, wie siehts mit meinen gespeicherten Emails aus...kann ich die auf DVD sichern und zurückspielen nachdem sich ein virenscanner die DVD zur brust genommen hat? Will ja keinen Datenverlust...da lass ich mich ja schon lieber ausspionieren!

Beste Grüße vom

PowerDremel

Hi, ich würd den Rechner plattmachen. Outlookemails werden in der Datei outlook.pst gespeichert. Die musst Du sichern. Sehe da keine Gefahr, wenn die dann mit einem Virenscanner gescannt hast und dann beim Gebrauch nen Virenscanner im Hintergrund laufen hast.
Gruß,
Klarser

Hi,

lass mal combfix von der Leine und poste das Log!
Wenn die Dateien nicht zu finden sind, ist normalerweise ein Rootkit im Spiel, und das ist zumindest als "heikel" zu betrachten (man weiss nie ob alles erwischt wurde)...

chris

Combofix:
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Moin,

also Combofix startet, ich drücke "1" und Return, dann schließt das Fenster und ich habe das Internet Explorer icon neu auf dem Desktop...aber sonst passiert nix?!
Habe es jetzt 3 mal probiert, 2 mal nach neustart und wirklich alle Programme inkl Daemon tools und rainlendar geschlossen.


@Klarser

Danke wegen der mails. Verwende aber Thunderbird was bezüglich der mails an sich ja nichts ändern wird?!

Besten Dank soweit,

PD

Hi,

schlechtes Zeichen!
Der Start wird wahrscheinlich verhindert... .

Mit HJ-fixen
Öffne das HijackThis -- Button "scan" -- vor den unten genannten Einträge(n) Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein, ein eventuell aktiver Teatimer von Spybot muss unbedingt deaktiviert sein!)

Zitat:

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

Scanne mit Dr. Web:
Anleitung: Anleitung: DrWeb - CureIt - Trojaner-Board
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de
Poste das Log, wenn was erkannt wird;

Silentrunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris

So,

da bin ich wieder. Hat ne ganze weile gedauert mit DrWeb, habe alle platten schecken lassen. Das Logfile ist daher riesig, zu riesig. Habe es mal um die nötigen Eintragungen gekürzt.
Sieht glaube ich nicht gut aus für mich, obwohl AntiVir beim Systemstart nichts mehr meldet...

Grüße und besten Dank soweit!

PD

P.S.: Stelle gerade fest das die Silentrunner log zu groß ist um sie zu posten...werde da auch noch schnell verkleinern müssen...